Signal-Phishing in Deutschland: BfV und BSI sehen gezielte Angriffe auf Führungspersonen

Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben in einer gemeinsamen Mitteilung vor einer gezielten Phishing-Kampagne über den Messenger-Dienst “Signal” gewarnt. Die beobachteten Angriffe richten sich primär gegen hochrangige Ziele aus Politik, Diplomatie und Militär. Technisch betrachtet ist das Angriffsmuster jedoch nicht sektorspezifisch – es lässt sich ohne Weiteres auf Unternehmensumgebungen übertragen.

Bemerkenswert ist vor allem, was diese Kampagne nicht beinhaltet: keine Malware, keine Ausnutzung einer Sicherheitslücke, keine Schwächung der Ende-zu-Ende-Verschlüsselung. Stattdessen instrumentalisieren die Angreifer legitime Funktionen der Plattform – insbesondere den Registrierungs- und Geräteverknüpfungsprozess.

Der Angriff zielt nicht auf den Code, sondern auf die Identität.

Die Angriffskette: Von Social Engineering zur vollständigen Kontoübernahme

In der ersten Phase geben sich die Täter als „Signal Support“ oder als vermeintlicher Sicherheits-Chatbot aus. Die Ansprache erfolgt direkt über die Plattform oder über begleitende Kanäle. Ziel ist es, beim Opfer den Eindruck eines akuten Sicherheitsproblems zu erzeugen – etwa durch den Hinweis auf drohenden Datenverlust oder eine notwendige Verifizierung.

Im nächsten Schritt wird das Opfer aufgefordert, einen per SMS erhaltenen Bestätigungscode oder eine PIN weiterzugeben. Technisch handelt es sich hierbei nicht um ein Umgehen von Sicherheitsmechanismen, sondern um deren Missbrauch. Signal betrachtet ein Gerät als legitim, sobald die Telefonnummer erfolgreich verifiziert wurde.

Wird der Code preisgegeben, können die Angreifer das Konto auf einem eigenen Gerät registrieren. Das ursprüngliche Gerät wird automatisch abgemeldet. Die Kontrolle über Profil, Kontakte und Einstellungen geht vollständig über.

Eine zweite, subtilere Variante nutzt die Geräteverknüpfung via QR-Code. Hierbei wird das Opfer dazu gebracht, einen manipulierten QR-Code zu scannen. Das Angreifergerät wird als zusätzliches Endgerät autorisiert, während der eigentliche Nutzer weiterhin Zugriff behält. In diesem Szenario bleibt die Kompromittierung oft unbemerkt, da kein unmittelbarer Kontrollverlust eintritt.

Beide Varianten folgen strikt der vorgesehenen Funktionslogik der Plattform.

Warum End-to-End-Verschlüsselung hier nicht schützt

Signal setzt auf ein robustes kryptografisches Modell, bei dem jede Geräteinstanz ein eigenes Schlüsselpaar generiert. Erfolgt eine erfolgreiche Registrierung oder Verknüpfung, wird ein neues vertrauenswürdiges Gerät in den Kommunikationsverbund integriert. Die Sitzungsschlüssel werden neu ausgehandelt, und die verschlüsselte Kommunikation läuft regulär weiter.

Aus Protokollsicht verhält sich das System exakt wie vorgesehen.

Das Problem entsteht nicht auf der kryptografischen Ebene, sondern bei der Annahme, dass das registrierte Gerät dem legitimen Nutzer gehört. Wird diese Annahme durch Social Engineering unterlaufen, schützt auch starke Verschlüsselung nicht mehr vor Einsicht in laufende Kommunikation.

Signal-Kontoübernahme ist damit kein kryptografisches Versagen, sondern ein Identitätsproblem.

Relevanz für KMUs

Obwohl sich die aktuelle Kampagne primär gegen politische Ziele richtet, ist die Methode generisch einsetzbar. Für KMUs ergibt sich ein realistisches Bedrohungsszenario.

In vielen mittelständischen Unternehmen werden Messenger-Dienste für operative Abstimmungen genutzt, etwa zur Freigabe von Zahlungen, zur Koordination mit Lieferanten oder zum Austausch sensibler Vertragsdetails. Gleichzeitig verfügen KMU häufig über begrenzte Ressourcen im Bereich kontinuierlicher Identitätsüberwachung und Mobile Device Management.

Eine erfolgreiche Signal-Kontoübernahme kann in diesem Kontext weitreichende Folgen haben: von gezieltem CEO-Fraud über die Manipulation von Zahlungsanweisungen bis hin zur Offenlegung vertraulicher Geschäftsbeziehungen. Besonders kritisch ist die Kompromittierung von Gruppenchats, da hier Netzwerkeffekte entstehen können.

DSGVO-Compliance als zusätzlicher Risikofaktor

Nach der DSGVO sind Unternehmen verpflichtet, personenbezogene Daten vor unbefugtem Zugriff zu schützen. Messenger-Kommunikation enthält regelmäßig personenbezogene Informationen wie Kontaktdaten, Projektdetails oder Vertragsbestandteile.

Kommt es im Zuge einer Signal-Kontoübernahme zu einem unautorisierten Zugriff, kann dies eine meldepflichtige Datenschutzverletzung darstellen. Für KMU im DACH-Raum bedeutet dies nicht nur ein mögliches Bußgeldrisiko, sondern auch Reputationsschäden und zusätzliche Prüfungen durch Aufsichtsbehörden.

Messenger-Dienste sind damit nicht nur Kommunikationswerkzeuge, sondern Teil der Compliance-Architektur.

Warum klassische Sicherheitsmechanismen oft versagen

Ein zentrales Problem bei der Erkennung solcher Angriffe ist ihre technische Unauffälligkeit. Es werden keine Schadprogramme installiert, keine ungewöhnlichen Netzwerkverbindungen aufgebaut und keine bekannten Exploit-Muster genutzt. Alle Schritte erfolgen über legitime API-Aufrufe und reguläre Anwendungsfunktionen.

Erkennbar sind solche Vorfälle meist nur über Verhaltensanomalien – etwa plötzliche Geräteverknüpfungen aus ungewöhnlichen Regionen oder signifikante Änderungen im Kommunikationsmuster eines Führungskontos.

Dies erfordert eine kontinuierliche Analyse von Identitäts- und Kontextdaten über Systemgrenzen hinweg.

In diesem Zusammenhang gewinnen MDR-Services an Bedeutung. Durch fortlaufende Überwachung von Identitätsverhalten und anomalen Aktivitätsmustern ermöglichen MDR-Services eine frühzeitige Erkennung von Kontoübernahmen – insbesondere in Umgebungen ohne eigenes Security Operations Center (SOC). Für KMU im DACH-Raum stellt dies eine praktikable Option dar, um Identitätsrisiken systematisch zu adressieren und DSGVO-Compliance-Anforderungen technisch zu unterlegen.

Identität als neue Sicherheitsgrenze

Die gemeinsame Warnung von BfV und BSI verdeutlicht einen strukturellen Wandel in der Bedrohungslandschaft. Angreifer investieren weniger in die Ausnutzung technischer Schwachstellen und zunehmend in die Manipulation legitimer Prozesse. Die Kontrolle über eine Identität ersetzt die technische Kompromittierung eines Systems.

Signal-Kontoübernahme ist kein Einzelfall, sondern Ausdruck dieser Entwicklung. Für KMUs bedeutet dies, dass Sicherheitsstrategien über klassische Patch- und Perimeter-Modelle hinausgehen müssen. Die Überwachung und Absicherung von Identitäten wird im Kontext von DSGVO-Compliance zu einer zentralen Kontrollmaßnahme.

Sicherheitslücken lassen sich schließen, Systeme lassen sich härten. Wird jedoch die Identität kompromittiert, läuft jede weitere Kommunikation unter gültiger Verschlüsselung – nur nicht mehr unter der Kontrolle des eigentlichen Nutzers.